#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Основная идея текста заключается в постоянной и развивающейся угрозе, исходящей от ботнета прокси-серверов Ngioweb, который существует уже семь лет и продолжает использоваться злоумышленниками для атаки на пользователей интернет-провайдеров, использования уязвимостей в маршрутизаторах и устройствах Интернета вещей, а также предоставления прокси-сервисов для вредоносных действий. В тексте подчеркивается рост размера ботнета Ngioweb, технические показатели, связанные с его деятельностью, и все более широкое использование местных прокси-провайдеров киберпреступниками и представителями национальных государств.
-----

Ботнет с прокси-серверами Ngioweb работает уже семь лет, его исходный код практически не изменился, и он продолжает использоваться злоумышленниками для поиска уязвимых устройств и создания новых прокси-серверов для продажи на черном рынке через Nsocks. Ngioweb в основном нацелен на пользователей интернет-провайдеров, в основном на такие устройства, как маршрутизаторы, камеры и системы контроля доступа. В августе 2018 года Check Point опубликовала отчет о Ngioweb, связав его с банковским вредоносным ПО Ramnit. Последующие исследования, проведенные Netlab и TrendMicro, позволили получить представление о функциях, возможностях и эволюции Ngioweb. Одним из примечательных изменений является растущее использование киберпреступниками и государственными структурами местных прокси-провайдеров для осуществления вредоносных действий.

В 2024 году LevelBlue Labs выявила зараженные Ngioweb системы, которые продавались как локальные прокси-серверы на веб-сайте Nsock, который принимает платежи только в биткоинах или лайткоинах для обеспечения анонимности. Размер ботнета Ngioweb значительно вырос, и в продаже доступно более 30 000 IP-адресов. Большинство зараженных систем относятся к категориям интернет-провайдеров и DCH, причем основное внимание уделяется частным пользователям. Ключевые усовершенствования вредоносной программы включают использование уязвимостей в маршрутизаторах и бытовых устройствах Интернета вещей, таких как системы Linear eMerge, маршрутизаторы Zyxel и пылесосы Neato. Вредоносная программа использует алгоритмы генерации доменов для обмена данными с уникальным зашифрованным текстовым ответом для проверки подлинности подключений к C&C серверам.

Технические показатели, связанные с деятельностью Ngioweb, включают различные тактические приемы, такие как первоначальный доступ, настойчивость, уклонение от защиты, командование и контроль, обнаружение и воздействие. Использование вредоносной программой уязвимостей, эксплойтов нулевого дня и выделенной инфраструктуры сканирования отражает сложность и постоянство угрозы, исходящей от Ngioweb и ее операторов. Широкая доступность недорогого прокси-доступа к зараженным системам подчеркивает распространенность и доступность вредоносных действий, которым способствуют такие ботнеты.

#ParsedReport #CompletenessLow
31-10-2024

Mishing in Motion: Uncovering the Evolving Functionality of FakeCall Malware

https://zimpstage.wpengine.com/blog/mishing-in-motion-uncovering-the-evolving-functionality-of-fakecall-malware

Report completeness: Low

Threats:
Fakecall
Qshing_technique

Industry:
Financial

TTPs:
Tactics: 9
Technics: 20

IOCs:
File: 5

Soft:
Android

Functions:
onAccessibilityEvent, onCreate, getResultData, setResultData

Languages:
java

Links:
https://github.com/Zimperium/IOC/tree/master/2024-10-FakeCall
https://github.com/ant-media/LibRtmp-Client-for-Android

#ParsedReport #ExtractedSchema

Classified images:
schema: 1, code: 2, windows: 2

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Основная идея текста - описание сложной атаки FakeCall Vishing, разновидности голосового фишинга, которая использует вредоносное ПО для обмана жертв и получения конфиденциальной информации, такой как учетные данные для входа в систему и финансовые данные. Атака подпадает под более широкую категорию "мишинговых атак", нацеленных на мобильные устройства с помощью различных методов, таких как голосовые вызовы. Вредоносная программа FakeCall может перехватывать звонки, манипулировать действиями абонента и даже перенаправлять звонки на поддельные номера, создавая угрозу безопасности пользователей. В тексте также подчеркиваются развивающиеся возможности вредоносного ПО и важность решений в области кибербезопасности, таких как защита от мобильных угроз Zimperium, для борьбы с подобными атаками.
-----

Фишинговая атака FakeCall - это сложная форма голосового фишинга, которая использует вредоносное ПО для обмана жертв и получения конфиденциальной информации, такой как учетные данные для входа в систему, номера кредитных карт или банковские реквизиты. Этот тип атак подпадает под понятие "фишинг", которое включает в себя различные методы фишинга, нацеленные на мобильные устройства, использующие такие функции, как голосовые вызовы, SMS и камеры на мобильных устройствах. FakeCall работает путем обмана пользователей, заставляя их звонить на мошеннические телефонные номера, контролируемые злоумышленником, что приводит к потенциальному мошенничеству с идентификационными данными и перехвату звонков.

Атака обычно начинается с того, что жертвы загружают вредоносный APK-файл на свои Android-устройства с помощью фишинговых атак, которые затем устанавливают вредоносное ПО FakeCall в качестве полезной нагрузки второго этапа. Вредоносное ПО взаимодействует с сервером управления (C2) для выполнения действий, направленных на обман пользователя. Вредоносное ПО предназначено для перехвата входящих и исходящих звонков, что дает злоумышленникам практически полный контроль над устройством жертвы.

В последних версиях вредоносной программы FakeCall добавлены новые функции, некоторые из которых все еще находятся в стадии разработки, для расширения ее возможностей. К ним относятся компоненты, отслеживающие Bluetooth и состояние экрана, а также сервис, использующий специальные возможности Android для управления пользовательским интерфейсом и сбора отображаемой информации. Вредоносная программа может отслеживать активность номеронабирателя, автоматически предоставлять разрешения и включать удаленное управление пользовательским интерфейсом устройства жертвы, позволяя злоумышленникам имитировать взаимодействие с пользователем.

Еще одной важной особенностью вредоносной программы FakeCall является ее способность предлагать пользователям установить ее в качестве обработчика вызовов по умолчанию, предоставляя ей контроль над всеми входящими и исходящими вызовами. Перехватывая вызовы и манипулируя набранными номерами, вредоносная программа может подделывать идентификационные данные и перехватывать звонки без ведома пользователя. Когда жертвы пытаются связаться со своими финансовыми учреждениями, вредоносная программа перенаправляет звонки на мошеннические номера, демонстрируя убедительные поддельные интерфейсы для извлечения конфиденциальной информации или получения несанкционированного доступа к финансовым счетам.

Исследовательская группа Zimperium выявила множество приложений и dex-файлов, связанных с кампанией FakeCall, подчеркнув важность таких решений в области кибербезопасности, как Zimperium Mobile Threat Defense и Runtime Protection SDK, для защиты пользователей от таких сложных атак. Эти решения используют динамический механизм обнаружения на устройстве для защиты от поддельных вызовов и новых вариантов, обеспечивая всестороннюю защиту мобильных пользователей.

#ParsedReport #CompletenessLow
06-11-2024

ToxicPanda: New Android Banking Trojan Targeting Multiple Regions

https://www.secureblink.com/threat-research/toxic-panda-new-android-banking-trojan-targeting-multiple-regions

Report completeness: Low

Threats:
Tgtoxic
Medusalocker
Copybara

Victims:
Banking institutions

Industry:
Financial, Education

Geo:
Asia, Chinese, Latam, Spain, Peru, Latin american, Italy, Latin america, Asian, France, Portugal

ChatGPT TTPs:
do not use without manual check
T1218, T1071

IOCs:
Domain: 3
Hash: 3

Soft:
Android, Chrome

Algorithms:
aes, base64

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Основная идея текста заключается в появлении и угрозе, исходящей от нового банковского трояна под названием ToxicPanda, нацеленного на устройства Android для мошенничества на устройстве, возможностях трояна удаленного доступа (RAT), его географическом распространении на рынки Европы и Латинской Америки за счет китайскоязычных участников угроз, технических подробностях о том, как он работает, его методы распространения, а также необходимость принятия упреждающих мер безопасности для борьбы с этой развивающейся угрозой.
-----

ToxicPanda - это новый банковский троян, предназначенный для устройств Android с целью мошенничества на устройстве и троянских программ удаленного доступа.

Троянец заразил более 1500 устройств в Европе и Латинской Америке, в основном нацелившись на банковские учреждения в таких странах, как Италия, Испания, Португалия и Перу.

В отличие от предыдущих угроз со стороны субъектов из Юго-Восточной Азии, ToxicPanda представляет собой сдвиг в сторону китайскоязычных субъектов, распространяющих угрозы в новых регионах.

Он имеет сходство с другими банковскими троянами, такими как Medusa и Copybara, поскольку фокусируется на методах мошенничества на устройствах и использует службу специальных возможностей Android для вредоносных действий.

ToxicPanda в основном распространяется с помощью механизмов боковой загрузки, замаскированных под вредоносные приложения, и использует тактику социальной инженерии, такую как фишинговые кампании.

Он перехватывает OTP-запросы, минуя банковскую двухфакторную аутентификацию, и создает ботнет, управляемый через централизованную инфраструктуру управления.

Операторы могут удаленно управлять устройствами, инициировать мошеннические действия и собирать данные, помимо финансовых данных, с помощью панели управления ToxicPanda C2.

Финансовым учреждениям рекомендуется усилить свою политику безопасности мобильных устройств, инвестировать в образовательные программы и внедрять передовые средства обнаружения для снижения рисков, связанных с ToxicPanda.

Будущие разработки ToxicPanda могут включать в себя более сложные возможности RAT, усовершенствованные реализации ATS и сложную инфраструктуру C2 с использованием алгоритмов генерации доменов.

#ParsedReport #CompletenessLow
06-11-2024

Stealc Malware Checks Everything - Even the Screen Resolution

https://blog.sonicwall.com/en-us/2024/11/stealc-malware-checks-everything-even-the-screen-resolution

Report completeness: Low

Threats:
Stealc

Geo:
Turkish

ChatGPT TTPs:
do not use without manual check
T1003, T1056, T1562.001, T1112, T1059.001

IOCs:
File: 1
Hash: 1

Soft:
Internet Explorer, Firefox, Chrome, Opera, Outlook, Steam, Telegram, Pidgin, Discord

Crypto:
monero

Algorithms:
zip

Win API:
VirtualProtect, arc

Languages:
powershell

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Основная идея текста заключается в том, что исследовательская группа SonicWall Capture Labs по изучению угроз провела анализ вредоносного по Stealc, подробно описав его вредоносные возможности и методы работы, а также ответные меры, принятые для защиты клиентов от потенциальных заражений.
-----

Команда исследователей угроз SonicWall Capture Labs недавно проанализировала образец вредоносного ПО Stealc, которое классифицируется как инфокрад, предназначенный для извлечения конфиденциальной информации из целевых систем. Stealc нацелен на браузеры, криптовалютные кошельки и серверы обмена файлами для сбора учетных данных. Это позволяет отслеживать процессы, нажатия клавиш, активные окна, щелчки мыши и изменять приложения безопасности, а также сетевые настройки, чтобы упростить подключение через прокси. Вредоносная программа тщательно отслеживает каждый аспект системы жертвы, включая аппаратные средства и настройки Windows, такие как разрешение монитора.

Перед выполнением большая часть кода Stealc обфускается, чтобы скрыть его истинную природу от инструментов анализа. Как только вредоносная программа попадает в отладчик, эти обфускированные строки могут быть расшифрованы, чтобы раскрыть их истинное назначение. Установлено, что раздел "Ресурсы" в файле написан на турецком языке, но строки, как оказалось, закодированы. В дополнение к методам обфускации Stealc включает в себя несколько возможностей обхода, включая длительные периоды ожидания, проверку функций процессора, проверку присутствия отладчика, проверку языка и системного времени, а также использование VirtualProtect для создания защитных страниц во время выполнения.

Начальные этапы процесса заражения включают системные запросы для определения языкового стандарта жертвы, системного оборудования, программного обеспечения, учетных записей пользователей, сетевых конфигураций и разделов реестра. Stealc инициирует эти запросы, проверяя языковой стандарт с помощью инструментария управления Windows (WMI), svchost и нескольких вызовов API в своей кодовой базе. Впоследствии вредоносная программа проводит всесторонний анализ системной информации с помощью комбинации стандартных методов, таких как QueryInformationVolume, QueryNameInformationFile и GetSystemInfo, а также сканирует реестр на наличие записей в разделе \Microsoft\Windows\CurrentVersion\Uninstall\ node.

Вредоносная программа оснащена встроенным в файл жестко запрограммированным IP-адресом, но также обладает возможностью динамической генерации URL-адресов. В ходе тестирования сгенерированный URL-адрес был обнаружен как http://62.204.41.177/edd20096ecef326d.php. Кроме того, было обнаружено, что вредоносный код обладает функциями, использующими команды PowerShell для инициализации сетевых подключений, хотя во время тестирования такого поведения не наблюдалось. На момент получения предупреждения IP-адрес, сообщаемый вредоносной программой, реагирует и обрабатывает запросы POST, содержащие определенные данные.

Чтобы противостоять угрозе, исходящей от Stealc, SonicWall выпустила сигнатуру для защиты своих клиентов от этого вредоносного ПО. Сигнатура предназначена для расширения возможностей обнаружения и активной защиты от случаев заражения Stealc. Используя эту сигнатуру, пользователи SonicWall могут выявлять и снижать риски, связанные с этим инфокрадом.

#ParsedReport #CompletenessMedium
06-11-2024

CopyRh(ight)adamantys Campaign: Rhadamantys Exploits Intellectual Property Infringement Baits

https://research.checkpoint.com/2024/massive-phishing-campaign-deploys-latest-rhadamanthys-version

Report completeness: Medium

Actors/Campaigns:
Copyrhight_adamantys (motivation: financially_motivated, cyber_espionage, cyber_criminal)
Void_manticore
Handala-hacking-team

Threats:
Rhadamanthys
Dll_sideloading_technique
Spear-phishing_technique
Infostealer.wins

Industry:
Entertainment, Critical_infrastructure, Government

Geo:
Iran, Albania, Israeli, America, Korean, Middle east, Russia, Asia, Israel, Iranian

ChatGPT TTPs:
do not use without manual check
T1547.001, T1574.002, T1027

IOCs:
File: 11
Hash: 124
IP: 6

Soft:
Gmail, Telegram, Dropbox, Discord

Wallets:
harmony_wallet

Crypto:
bitcoin

Algorithms:
zip

Languages:
lua

Platforms:
x64, x86, amd64

#ParsedReport #ExtractedSchema

Classified images:
code: 2, schema: 1, dump: 1

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Основная идея текста заключается в изощренной фишинговой кампании под названием CopyRh(ight)adamantys, которая использует Rhadamanthys stealer 0.7 для борьбы с регионами по всему миру, особенно в Соединенных Штатах, Европе, Восточной Азии и Южной Америке. Кампания включает в себя выдачу себя за различные компании, в том числе из сферы развлечений/МЕДИА и технологий/программного обеспечения, чтобы обманом заставить получателей загрузить вредоносные файлы. Злоумышленники используют автоматизацию и, возможно, интеграцию с искусственным интеллектом для создания персонализированных фишинговых электронных писем, адресованных конкретным лицам. Несмотря на прежние связи с представителями национальных государств, эта кампания, по-видимому, имеет финансовую подоплеку, демонстрируя оперативную эффективность и тактику, направленную на то, чтобы избежать разоблачения.
-----

В фишинговой кампании под названием CopyRh(ight)adamantys используется Rhadamanthys stealer версии 0.7.

Нацелен на регионы, включая Соединенные Штаты, Европу, Восточную Азию и Южную Америку, выдавая себя за компании в сфере развлечений/МЕДИА и технологий/программного обеспечения.

Использует инструменты искусственного интеллекта для автоматизации процессов; Rhadamanthys 0.7 утверждал, что распознает текст с помощью искусственного интеллекта, но на самом деле использует более старые методы машинного обучения.

Кампания, действующая с июля 2024 года, включает в себя фишинговые электронные письма, в которых получатели обвиняются в нарушении авторских прав на Facebook с целью побуждения к загрузке.

Выдает себя за известные компании в фишинговых электронных письмах с просьбой удалить предполагаемый контент, нарушающий авторские права.

Процесс заражения включает загрузку защищенного паролем архива, содержащего легальные файлы и вредоносную DLL-библиотеку, загруженную с помощью Rhadamanthys.

Последняя версия включает в себя модуль распознавания текста и другие функции, расширяющие возможности скрытности.

Создается впечатление, что он управляется финансовыми средствами, а не спонсируется государством, демонстрируя оперативную эффективность и широкий спектр целевых характеристик, характерных для киберпреступных группировок.

#ParsedReport #CompletenessMedium
05-11-2024

RunningRAT s Next Move: From Remote Access to Crypto Mining for Profit

https://hunt.io/blog/runningrat-from-remote-access-to-crypto-mining

Report completeness: Medium

Actors/Campaigns:
Winnti

Threats:
Runningrat
Gold_dragon
Brave_prince
Zxshell
Xmrig_miner
Coinminer
Nssm_tool
Hezb
Log4shell_vuln

Geo:
Japan

TTPs:
Tactics: 1
Technics: 0

ChatGPT TTPs:
do not use without manual check
T1105, T1574.001, T1059, T1082, T1106, T1496, T1071

IOCs:
IP: 3
File: 8
Hash: 11
Path: 4
Domain: 1

Soft:
Windows service, PyInstaller

Crypto:
monero

Algorithms:
7zip, sha256

Languages:
php, powershell

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
В тексте обсуждается появление RunningRAT, троянца удаленного доступа (RAT), который расширил свои возможности за пределы удаленного доступа и кражи информации, включив в них криптодобычу. В нем рассматривается инфраструктура вредоносного ПО, методы доставки и методы управления, подчеркивается использование открытых каталогов и связи с виртуальным частным сервером (VPS). Анализ также затрагивает исторический контекст RunningRAT, возможности скрытого управления системой, постоянное присутствие в отчетах об угрозах и недавнее участие в деятельности по крипто-майнингу. Благодаря подробному изучению образцов Running Rat, открытых каталогов и связанных с ними файлов, в тексте раскрывается информация о его поведении, тактике развертывания и потенциальных связях с участниками угроз. Эволюция RunningRAT от ее появления в ходе кампаний по подготовке к зимним Олимпийским играм в Пхенчхане в 2018 году до ее нынешнего состояния многофункциональной угрозы демонстрирует адаптивность вредоносного ПО и расширяющийся ландшафт угроз, подчеркивая важность мониторинга и понимания эволюционирующих возможностей вредоносного ПО.
-----

Было замечено, что троянец удаленного доступа RunningRAT (RAT) запускает полезные программы для майнинга криптовалют, что указывает на изменение его функциональности, выходящее за рамки удаленного доступа и кражи информации.

Вредоносная программа использует в своей работе открытые каталоги, а образец размещен в доступном онлайн-хранилище, подключенном к отдельному серверу, на котором размещены инструменты крипто-майнинга.

Running Rat взаимодействует с виртуальным частным сервером (VPS), предлагая скоординированную инфраструктуру для размещения и доставки полезной нагрузки.

Первоначально обнаруженный в ходе кампании, нацеленной на организации, связанные с зимними Олимпийскими играми в Пхенчхане в 2018 году, RunningRAT известен своими возможностями скрытого системного контроля и мониторинга.

Несмотря на минимальное освещение в отчетах об угрозах после 2018 года, образцы Running Rat продолжают появляться на таких платформах, как Malware Bazaar, что указывает на продолжающееся использование.

Исследовательская группа обнаружила открытый каталог в Японии, на котором размещался образец Running Rat и PHP-скрипт, а вредоносная программа демонстрировала схемы развертывания и обслуживания с использованием законных процессов Windows.

Сервер C2, подключенный к RunningRAT, был связан с доменом host404111.xyz и размещался на виртуальном сервере DigitalOcean VPS в США, на котором размещались майнеры криптовалюты, нацеленные на Monero, с помощью программного обеспечения для майнинга XMRig.

Отсутствие адресов кошельков в проанализированных файлах XMRig говорит о том, что они сосредоточены на майнинге, а не на сиюминутной финансовой выгоде.

Вредоносная программа kill.exe была идентифицирована как шпионское ПО, предназначенное для сканирования скомпрометированных устройств на предмет наличия учетных данных, при этом наблюдалась ограниченная передача данных, что может указывать на проблемы с функциональностью.

Эволюция RunningRAT от участия в кампаниях зимних Олимпийских игр в Пхенчхане в 2018 году до участия в крипто-майнинге демонстрирует ее адаптивность и расширяющийся ландшафт угроз.

#ParsedReport #CompletenessHigh
06-11-2024

Unmasking VEILDrive: Threat Actors Exploit Microsoft Services for C2

https://www.hunters.security/en/blog/veildrive-microsoft-services-malware-c2

Report completeness: High

Threats:
Veildrive
Quick_assist_tool
Spear-phishing_technique
Microsoft_quick_assist_tool
Lite_manager_tool
Runkeys_technique

Industry:
Critical_infrastructure

Geo:
Russian, Russia

ChatGPT TTPs:
do not use without manual check
T1105, T1074.001, T1053.005, T1059.001, T1547.001, T1566.002, T1203, T1113

IOCs:
File: 13
Command: 1
Domain: 4
Registry: 1
IP: 4
Hash: 5

Soft:
Microsoft Teams, Azure Virtual Machine, Azure AD, Microsoft Store, Windows Firewall, Slack

Algorithms:
exhibit, sha256

Functions:
run

Languages:
java, powershell

Links:
https://github.com/profesorfalken/jPowerShell

#ParsedReport #GeneratedSchema
Generated with GPT-4